釣魚電郵演習|香港一成社營組織僱員中招 失敗率高全球一倍
原文刊於信報財經新聞「EJ Tech 創科鬥室」
隨着人工智能(AI)技術急速發展,黑客利用AI犯案成為新趨勢。根據香港電腦保安事故協調中心數字,去年共處理7752宗保安事故,網絡釣魚更佔整體個案48%(3752宗),數字創下5年新高。香港寬頻(01310)早前聯同網絡安全及創科公司Green Radar,義務為10間社會營利組織(SPO)進行釣魚電郵演習,改善社營僱員的網絡安全風險。
是次釣魚郵件演習於今年2月進行,模擬了近年最常見的黑客手段,向10間社營近一萬名僱員發出釣魚電郵,事前將演習消息保密,以測試員工真實反應。至於網絡釣魚電郵的設計,首先採用仿真度高的電郵地址,內容以「先到先得」送贈禮品為題,並要求收件者盡快回覆,務求吸引僱員的注意;電郵下方並設有連結,要求提交個人資料。
受騙者逾四成供敏感資料
結果發現,參與演習的10間社營均有僱員中招。為數近一萬員工中,約一成人(10.7%)無法識別釣魚電郵,較全球非牟利機構網絡釣魚評估數字,即平均5.5%失敗率高出一倍,反映本港社營僱員對釣魚電郵缺乏警覺性。當中超過四成人(43.6%)更墮入圈套,點擊了電郵的虛假連結,提交了包含姓名、電郵地址的敏感個人資料。
10間參與演習的社營中,有4間曾遇到釣魚電郵攻擊而招致損失(例如系統修復),有8間認為前線僱員缺乏網絡安全科技知識。雖然大部分社營已就網絡攻擊設有通報機制(8間),並在過去一年內有更新網絡安全措施(7間)。然而,逾半受訪社營(6間)承認,過去一年沒有或僅提供一次的網絡安全意識培訓。
香港寬頻持股管理人及信息安全總裁鄧宏舜指出,社營組織為大眾服務,儲存不少敏感資訊(例如捐贈者、受益人資料),但它缺乏網絡防禦資源,在漁翁撒網、取易不取難下,容易成為黑客目標,風險不比私人企業低。一旦被入侵後端資訊科技(IT)系統,恐影響與受眾相關運作,例如人道救援等。
談到演習遇到的趣事,香港遊樂場協會總幹事溫立文博士提到,是次演習用到IT主管電郵,主管更故意放假,幸好員工有危機感,懂得主動致電對方核實。香港基督教服務處行政總監李天倫表示,社營資源主要集中在營運及照顧受眾,往往缺乏預算推行網絡安全措施。他笑言演習開始前,竟收到真實網釣電郵,呼籲加強內部僱員培訓,以改善網絡安全意識。
倡加強培訓 檢討儲存政策
鄧宏舜提到網絡防禦的貼士,機構需要檢討私隱儲存政策,讓員工妥善保存敏感數據。此外,可以定期向僱員進行網絡釣魚測試,並經常更新系統及防毒軟件、啟動雙重認證。對於近年流行的遙距辦公,亦可安裝反惡意程式、電郵安全或端點安全軟件。香港寬頻企業方案將於4月15日,舉辦免費社營防範釣魚電郵講座,分享常見釣魚電郵特徵及防範方法。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
